Diese Ausführungen sollen darlegen, welche Ursachen für die Aufrufe auf fraglicher Webseite meiner Erfahrung nach verantwortlich sein können. Zuerst eine Einführung in die Sicherheit von Passwörtern. Auf diese Einführung werden wird bei 2. bezug genommen. 1. Allgemein: Passwörter sind unsicher Allgemein gilt: Die Sicherheit von Passwörtern ist leider zu oft als sehr gering anzusehen: 1.1 Wenn ein Passwort aus einfachen Wörtern ohne Sonderzeichen und/oder zahlen besteht, sowie kurz ist (weniger als 8 Zeichen), wird dies als "schwach" bezeichnet: Es kann meist durch eine einfache Wörterbuchattake oder eine Brute Force Attacke in kürzester Zeit bestimmt werden. Dies ist aus der Ferne, ohne lokalem Zugang, z.B. über Internet, genauso möglich, wie über einen lokalen ferngesteuerten Zugang, welcher beispielsweise gehackt worden ist, möglich. Ein lokaler Angrif, welcher nebenbei auch ferngesteuert sein kann, ist hierbei allerdings normalerweise um einiges effektiver. -> Es kann nicht ausgeschlossen werden, daß ein Passwort von einer dritten Person erhalten wurde. 1.2 Bei vielen Protokollen werden Passwörter unverschlüsselt übertragen. Es ist in diesem Falle möglich ein Passwort mitzusniffen. Beispielsweise kann ein Rechner, welcher am gleichen Switch angeschlossen ist (ARP Spoofing), oder die Daten im Internet bzw. im Umfeld des Servers abfangen und/oder umleiten kann (beispielsweise ist dies über das Internet Routingprotokoll BGP möglich) dieses mitsniffen (= abhören), und erhällt damit das Passwort. -> Es kann nicht ausgeschlossen werden, daß ein Passwort von einer dritten Person erhalten wurde. 1.3 Oft verwendet man für viele Zugänge das gleiche Passwort. Wenn man an einem fremden Rechner das Passwort eingibt, kann dies beispielsweise bei der Eingabe (z.B. durch einen Keylogger als Software (gibt es im Internet schnell zu finden)) oder einem Keylogger als Hardware (gibts z.B. bei (1) für 99$)) oder nachträglich extrahiert werden; Beispielsweise der Internet Explorer von Microsoft kann Passwörter von Webseiten abspeichern. (1): "http://www.thinkgeek.com/" -> Es kann nicht ausgeschlossen werden, daß ein Passwort von einer dritten Person erhalten wurde. 1.4 Wenn es ein Angreifer schafft, in ein System sich zugang zu verschaffen, beispielsweise über einen remote Exploit (Ausnutzung von Software auf (Hardware-)Routern oder Computern/PCs), kann er meist ein Passwort erhalten. Siehe hierzu Die anderen Unterpunkte von 1., welche eine Menge an Möglichkeiten zeigen, welche ein Angreifer hier tätigen kann, um an ein Passwort zu geraten. Zudem kann der Angreifer auf alle Daten, welche auf dem eingebrochenen System vorliegen, zugreifen, und möglicherweise hier schon ein Passwort erhalten. Wenn dies beispielsweise der Router ist, welche den Zugang zum DSL-Provider realisiert, kann er einen Angriff nach 2.1 durchführen. -> Es kann nicht ausgeschlossen werden, daß ein Passwort von einer dritten Person erhalten wurde. 1.5 Wenn jemand beim Eingeben eines Passwortes genau zusieht, kann es sein das dieser das Passwort mitlesen kann oder es errät bzw. kombiniert. Möglich ist es auch, daß das Passwort einer Vertrauensperson mitgeteilt wurde. -> Es kann nicht ausgeschlossen werden, daß ein Passwort von einer dritten Person erhalten wurde. 2. Folgende Möglichkeiten gibt es, daß eine Fremde Person Aktionen im Internet über eine fremde IP durchführen kann: 2.1 Einwahl an einem anderen Ort mit andere Hardware als der des Anschlussinhabers: Wenn es gelingt die Zugangsdaten eines Nutzers für die Einwahl bei einem DSL-Provider zu erraten oder auszuspähen oder anderweitig zu erhalten, ist es möglich sich an allen Stellen, an denen eine DSL-Leitung vom gleichen Provider existiert, einzuwählen, ohne daß dies Nachverfolgt werden kann. Dies wird im Artikel Geklaute Identität - T-DSL eröffnet Hackern neue Chancen ab Seite 283 der Computerfachzeitschrift c't 21/01 des Verlags Heise näher erläutert. Es ist zwar auf T-DSL zugeschnitten, es kann allerdings nich ausgeschlossen werden, dass dieses Problem nicht auch bei QDSL existiert. Denkbar ist beispielsweise die Beschaffung der Zugangsdaten über 2.3) (siehe weiter unten). -> Es muss ausgeschlossen werden, daß dies Zugriffe, welche Sie mir vorwerfen, über diese Art und Weise generiert worden sind. 2.2 Fernsteuerung Es gibt Software, mit welcher man sich an einem entfernten PC verbinden kann. Es ist darüber möglich, die Maus und Tastatur von überall aus der Welt ferngesteuert zu kontrollieren, so als währe man vor Ort. Die Anzeige des Bildschirms sieht die entfernte Person so, als ob diese vor Ort ist. Solche Programme werden zwar meist über ein Passwort geschützt, es ist allerdings möglich das dieses, wie unter 1. erläutert, erhalten wurde, oder daß die Sicherung besagte Fernsteuerungssoftware über einen remote Exploit umgangen wurde. Denkbar ist auch eine heimliche Installation z.B. bei LAN-Parties, oder von Personen welche dieses Programm bei einem Besuch installieren haben. Ein solches Programm kann im Hintergrund gestartet werden, ohne das es sichtbar ist, wie dies beispielsweise bei TightVNC möglich ist. Es ist auch eine parallelinstallation, neben einem vom Benutzer gewünschten Programm dieser Art, möglich. Ein solches Programm mit, einem Passwort gesichert, hatte ich selbst installiert, ob damals ein verstecktes Programm aktiv war kann ich nicht sagen. -> Es muss ausgeschlossen werden, daß dies Zugriffe, welche Sie mir vorwerfen, über diese Art und Weise von einer anderen Person generiert worden sein könnten. 2.3 Einbruch auf Systeme Es ist möglich, daß in einem vorgeschalteten Router, oder am PC, am welchem wirklich gearbeitet wurde, eingebrochen wurde. Denkbar ist daß der Einbruch über die bei 1. aufgeführten Punkte erfolgt ist, oder über einen remote Exploit. Die Angriffspunkte für eine solchen Angriff sind Dienste, welche am externen Interface angeboten werden. Beispielsweise ist ein Wartungszugang oder eine Datenaustauchsdienst denkbar. Nach dem Einbruch sind alle bei 1. aufgeführten Angriffe denkbar, um weiteren Schaden bzw. weitere Zugriffe zu ermöglichen. Wie einfach ein solcher Angriff über einen remote Exploit sein kann, zeigt das Problem, welches hinter dem aktuellem und bekanntem Virus "W32/Blaster" steckt: Über einen einfachen Aufruf kann eine Kommandoshell auf einem entfernten System erhalten werden. Um die von Ihnen beschriebenen Zugriffe durchführen zu können, sind prinzipiell allerdings keine weiter Schritte notwendig: Es kann eine Weiterleitung eingerichtet werden, über welches Zugriffe mit der IP des Anschlussinhabers durchgeführt werden können, oder der Einbrecher führt diese mittels der installierten Programme auf dem System durch. -> Es muss ausgeschlossen werden, daß dies Zugriffe, welche Sie mir vorwerfen, über diese Art und Weise von einer anderen Person generiert worden sein könnten. 2.4 Misbrauch von Zugangsbrechtigungen Es gibt Personen, welche Zugang auf einen Linux-PC in meinem Netz hatten. Möglicherweise wurden hier über einen solchen Account die fraglichen Zugriffe generiert. -> Es muss ausgeschlossen werden, daß dies Zugriffe, welche Sie mir vorwerfen, über diese Art und Weise von einer anderen Person generiert worden sein könnten. 2.5 Spoofing Es ist denkbar dass, auf der Strecke zwischen dem Server des Interneterotikportals und dem Anschluss des Nutzers eine Manipulation durchgeführt worden ist. Dies sind im Groben die Bereiche: 1. Rechenzentrum bzw. Aufenthaltsort des Servers des Interneterotikportals 2. Internet: eine im nachhinein sehr schwer bis nicht mehr zu ermittelnde Anzahl an Providern 3. Netz des Providers des Nutzers Die technischen Manipulationsmöglichkeinten an dieser Stelle für Spoofing genauer zu beschreiben, sprengt leider die Kapazitäten dieser Gegenargumentation. Ein Beispiels sein allerdings genannt: -> Es muss ausgeschlossen werden, daß dies Zugriffe, welche Sie mir vorwerfen, über Spoofing von einer anderen Person generiert worden sein könnten. 2.5.1 Manipulation seitens NCM e.V. oder Interneterotikportal: Es ist nicht auszuschließen, das vom Interneterotikserver und/oder vom NCM fehlerhafte, falsche oder manipulierte Informationen geliefert worden sind. Denkbar ist beispielsweise, dass die Logmeldungen manuell verändert oder ergänzt wurden, oder dass lokal ein Rechner mit der fragwürdigen IP lokal beim Internetertoikserver aufgestellt wurde, von welchem die Anfragen generiert worden sind. Dies würden keinen großen technischen Aufwand darstellen. -> Es muss ausgeschlossen werden, daß dies Zugriffe, welche Sie mir vorwerfen, durch Manipulation dokumentiert wurden. By Markus Mueller, Visit HP @ http://www.pRiV.de/ Mail me/mir at/unter yourname@pRiV.de "yourname" ist Ihr name (z.B. HebertMueller@pRiV.de) "yourename" is your name (z.B. PietBlank@pRiV.de)